通过接入网络在客户网络与IP供应商网络之间交换IP分组的方法
本发明的技术问题
末来的宽带客户接入网络必须以低成本提供比当今通行的基于ATM的连接所能够达到的高带宽。因此未来的增强网络加强地基于当前市场上建立的城市网络的有吸引力的IP技术和以太网技术。
尽管基于ATM的接入网络的网络结构已经在DSL论坛中确定,但是对基于IP和以太网的接入网络的工作还处于开始阶段。需要能够以理想的方式满足以下要求的宽带客户连接的基于IP和以太网的聚集体的一个新的网络结构:
·具有鉴权和接入检查的动态的网络入口
·建立新的客户最低管理开销
·良好的可标定性
·在各个客户连接之间的会话隔离
·动态地选择不同的业务或者说业务种类
·动态地选择不同的业务供应商
·在少量的业务专用的逻辑通道中聚集许多客户
·受业务质量的支持
·高度地对抗对网络功能和网络整体性的侵犯
本发明的主题是用于面向以太网的宽带接入网络的一种新型聚集方案。本发明应当使最终客户能够通过对独立的IP业务供应商的多个不同的IP网络进行同时的IP会话,而不必为此需要PPPoE。独立的IP网络商不必相互协调其IP地址空间,不同IP网络运营商的地址空间还可以重叠或者相同。通过本发明应当使得能够通过以太网和一种基于DHCP的会话控制建立有IP的成本合算的网络,而同时可以通过一个接入网络支持多个独立的网络运营商。
针对本发明技术问题的举例
一个于其中可以极其有利地使用本发明的一个网络场景的例子在图1中示出。该场景分组含三个客户网络110、120、130。举例地首先考虑客户网络110。该客户网络110分组含二个终端设备(例如PC)112和113。它们连接在客户IP路由器111上。路由器111与一个网络终端装置(NT)114连接。网络终端装置114通过接入节点140的接入线路115与“端口a”119连接。所述接入节点通过两个上行链路141和142与两个聚集节点161和162连接。通过另外供选用的聚集节点163和164最终可以达到两个IP网络运营商的两个IP网络。接入节点和聚集节点属于一个接入网络运营商的接入网络160。
在该例子中所述技术问题是,在一个IP会话的过程中,通过接入网络在客户路由器111与IP网络运营商150之间传输数据分组,为此网络运营商首先应当向客户路由器分配一个IP地址(在该例子中是Ia1)。为此网络运营商150必须采用公知的协议,例如DHCP,并且采用其它的辅助装置,例如一个DHCP服务器151。
对应地在网络运营商170的例子中在一个IP会话的持续时间内必须同样地能够在一个IP会话的持续时间向客户网络120的客户路由器121分配一个IP地址Ib2并且必须通过接入网络160在客户路由器121与网络运营商170之间传输IP分组。在此应当能够完全相互独立地分配IP地址Ia1和Ib2。
还应当能够同时向一个客户网络指派不同IP运营商的多个IP地址。一个例子为客户网络130示出。该客户网络分组含两个客户路由器131和132,这两个客户路由器例如通过一个以太网连接在同一个网络终端113上。在此IP网络运营商必须能够向路由器131分配一个IP地址Ic1,而同时IP运营商170应当能够向同一个客户网络中的第二路由器132分配一个IP地址Ic2。必须能够同时通过接入网络160一方面在路由器131与IP网络运营商150之间传输IP分组另一方面在路由器132与I运营商170之间传输IP分组。
根据本发明技术问题的解决方案
如本发明所述的技术方案在于借助于配属给一个IP会话的数据交换数据分组的方法。这具体地是指:
·对于沿从客户网络向IP网络运营商方向的分组:借助于配属给一个IP会话的其原层2地址以及原IP地址接收所述分组(在此例中:M1和Ia1)。把一个IP会话的所有的分组向该IP网络运营商(在此例中:M7)的配属给一个该会话的层2地址转交。
·对于从IP网络运营商向客户网络方向的数据分组:借助于一个IP会话的所配属的原层2地址以及目标IP地址(在此例中:M7、Ia1)接收数据分组。把一个IP会话的所有数据分组向所述客户网络的配属给该会话的层2地址转发。
根据本发明的附加技术问题
除了所述的本发明的技术问题之外,在许多网络出现另一个,与之相关联的技术问题,在下文中还称为附加技术问题。对于商务客户网络运营商往往在层2上提供普通网络业务。例子有ATM业务(例如永久性虚拟电路(PVC)业务),TDM租借业务(例如E1/T1业务)和例如由城市以太网论坛规定的最近的城市以太网业务。在这些业务的情况下,一般不加改变地通过运营商的网络不加改变地在所述商务客户的移交点之间传输层2帧或者相应协议的单元。
私人客户往往不需要这些基于层2的业务,因为私人客户大多涉及对基于IP协议例如VoIP的应用和视频应用的因特网接入业务。这些应用要求向一个或者多个IP网络运营商传输IP分组,在有的情况下还要求对多个IP运营商的同时接入。然而对于这些客户在客户网络与相应的IP网络运营商之间传输IP分组就足够了。尽管一个基于层2的业务对此是充分的,但却是不需要的。因为尤其是与作为层2的以太网相关联的既有定标问题(例如只有4096个VLAN标签)也有各种安全性风险,所以对私人客户尤其有利的是,层2终接于接入节点并且自行向IP运营商传输IP分组。从而该方案尤其有利的是不从客户网络向网络运营商传输完全的以太网帧而是只传输层3内容,即IP分组。
所述附加技术问题至今公知的技术方案
a)例如在DSL论坛规范TR-058和TR-059中说明了带有QoS支持的基于宽带接入网络的结构。这些网络基于客户连接与一个中心的IP网络接入节点(宽带接入服务器,BAS)。所述BAS(宽带接入服务器)承担客户的接入协议和鉴权以及业务选择。该结构有各种缺点:
·客户与BAS之间的连接(PVC)既要在ATM网络中配置也要在BAS中配置。
·每个QoS等级相应地需要一个自己的ATM PVC
·客户之间的通信必须总是通过BAS进行
·当今的BAS产品不允许有高的数据率(例如每客户多个视频信道)成本合算的业务。
b)一种部分地对以太网接入网络缓解安全性问题的方法是T.Melsen和S.Blake在草案draft-melsen-mac-forced-fwd-02.txt中公开的,题目为“Mac ForcedForwarding:An ARP proxy method for ensuring traffic separation between hosts sharing anEthemet Access Network”。在该方法中,接入节点检验客户方在以太网帧中使用的MAC目标地址的可靠性。在接入节点中的一个APR代理服务器只在客户方APR请求的情况下附加地只发送回允许的MAC地址。然而该方法不能够解决对不同的独立IP网络的同时接入问题。
c)另一种方法被公知为“(Vitual)MAC Address Translation”。(例如参见2004年2月ZTE公司的ITU Contribution)。在该技术方案中,把客户方的层2终点的MAC地址单义地转换成接入网络运营商确定的“虚拟的”MAC地址。该网络方层2终点的MAC地址在经过接入节点通过以太网帧时保持不改变。在该技术方案中缺点尤其是对每个客户方的MAC地址在网络中需要一个附加的虚拟MAC地址。该方法也没有解决对不同的独立IP网络同时接入的问题。
d)在对应于现有技术的另一个方法中,一个IP路由器功能在接入节点中终接于层2并且借助于IP地址路径选择层3的IP分组(IP路径选择)。在该方案中出现以下的缺点:
i.接入网络运营商必须本身成为IP网络运营商
ii.所述IP地址不能够由独立的IP网络运营商分配。
iii.与现今的IP网络相比较IP路由器的数量提高了约达两个数量级,由此显著地提高运营IP网络的开销。
iv.IP路由器必须高开销地掌握路径选择协议。
e)另一个公知的技术方案采用PPPoE或者客户网络与IP网络运营商之间的PPPoA协议。为此必须对相应的IP网络建立于其中传输IP分组的通道。在该方案中的缺点是PPPoE/PPPoA终接于一个宽带接入服务器(BAS)的高成本以及基于以太网的接入网络中的安全性问题。
根据本发明附加技术问题的解决方案
图2示意地示出根据本发明作为IP服务器交换台工作的接入节点的工作方式。在接入网络260中在一个或者多个接入节点与IP运营商的一个或者多个接入节点之间为每个受支持的IP运营商实现一个或者多个“IP业务连接。在图2的例子中在接入节点240和241与运营商1的边缘路由器250之间设置一个IP业务连接242。对应地在相同的接入节点240和241与IP边缘节点270之间设置另一个IP业务连接243。
在最简单的情况下,ID业务连接只通过接入网络中的接口的一个层2目标地址给与相应的IP网络运营商的一个IP边缘路由器。这在图2中的例子中是层2地址M7和M8。在以太网中M7和M8是边缘路由器250和251中的以太网的MAC地址。在本发明的意义上一个IP业务连接的特征是在以一个或者多个IP服务器为一方面与一个或者边缘路由器为另一方面之间传输IP分组,通过如本发明所述的网络装置(IP服务器交换台)的层2地址可以抵达所述一个或者多个边缘路由器(为此IP服务器交换台本身不需要任何自身的IP地址)。因为从而可以确定层2上的IP业务连接,可以相互独立地在不同的IP业务连接之间选择传输的IP分组的IP地址。
出于安全的原因并且为了能够较简单地保证接入网络中的特定业务质量往往采用有利的附加的层2属性,以实现IP业务连接。为此例如可以在以太网中采用根据IEEE标准802.1q的有利的VLAN技术。为此例如图2、3、4的IP服务器交换台240除了目标MAC地址M7或者M8以外还建立IP业务连接的VLAN标签2011或者2022。这是有利的,因为由此在接入网络运营商的后续的交换台L2中可以只借助于VLAN标签向一个IP业务连接配属所述接入网络的资源。这是在许多层2交换台中已经广泛使用的功能。还可以设想通过MPLS(标签切换的路径)或者IP技术(例如L2TP、RFC2661)实现IP业务连接。
附加地在图2中示出如何在客户方端口的IP会话为一方面和IP业务连接为另一方面之间交换IP分组。例如把接入线路215(对应于图1中的端口a)上的IP会话发来的IP分组交换到IP业务连接242上,并且相反地把带有IP地址Ia1的IP业务连接242上的发来的IP分组交换到接入线路215的IP会话上。
在接入线路235的例子中假定,在客户路由器231和232为一方面与接入节点240为另一方面之间的两个不同的IP会话的IP分组通过相应不同的根据IEEE标准802.1q的以太网VLAN(例如:“1001”和“1002”)或者通过不同的ATM PVC传输。带有原层2地址M3并且从VLAN“1002”发来的接入线路235的层2帧中的IP分组属于一个IP会话并且交换到IP业务连接242上并且带有原层2地址M4并且从VLAN“1002”发来的接入线路235的层2帧中的IP分组交换到IP业务连接243上。相反地从所述接入节点发来的在IP业务连接242上的带有IP地址I1的IP分组装进带有WLAN“1001”和目标层2地址M3的层2帧中并且交换到接入线路235上。发来的在业务连接243上带有IP地址IC2的IP分组交换到接入线路235的带有VLAN“1002”和目标层2地址M4的层2帧中。
在本发明的意义上IP会话的特征是
a)至少一个层2地址,用之可以达到一个客户网络中的一个设备,和
b)至少一个配属给该所述的层2地址。
在多数情况下有利的是,为标识一个IP会话另外添加如本发明所述的网络元件的一个或者多个物理的端口,通过它们可以达到所述客户网络中的所述设备。从而例如,如果可以通过不同的物理端口达到。就可以采用同一层2地址的不同的设备。
基于会话的IP交换的规则可以以列表形式由接入节点保持。一个例子示于图3中。在该表中把客户方的IP会话配属给网络方的业务连接。
在该例中IP会话通过在IP业务交换台(该例中a、b或者c)上的一个客户方的物理端口并且通过一个客户方的层2地址及所属的IP地址确定。附加地其它的属性可以确定一个IP会话。对此所属的例如有一种客户方的VLAN标签(在图4中于表的“C-VLAN”列中)。
在该例中IP业务连接通过IP业务连接的一个终点的一个网络方层2地址确定。在图3的例子中这是两个IP运营商150和170的IP边缘路由器151和171上的终点的地址M7和M8。还可以选择其它的属性标记业务连接。在图3的交换规定的例子中,相应地把根据IEEE802.1q的一种VLAN标签(在图4中于表的“S-VLAN”列中)配属给一个业务连接。
借助于图3中的列表给出的交换规定可以通过IP业务交换台进行所需要的地址转换和属性转换。除了这些转换以处,例如可以附加地检验通信,以保证网络安全性和网络整合性。例如,如果一个最终客户的IP分组不载有一个交换规定中给出的源IP地址,就摒弃之。所述交换规定既可以完全地或者部分地在管理上预先给定,也可以在建立一个IP会话时通过在接入节点中处理鉴权、授权和IP地址分配的协议,譬如802.1x、DHCP、RADIUS,自动地获知。
图4示出,以太网作为层2协议的情况下,在本发明的一个有利的实施方式中如图3中所示的交换规定如何地由一个网络元件利用,以在Ip会话与IP业务连接之间交换时转换以太网帧的层2地址和属性。
与公知的技术方案组1d)的情况相反可以在如本发明所述的方法的该有利的实施方案中,把不同的客户方MAC地址M1至M4映射到相同的网络地址M6。在图4所示的例子中把IP业务交换台中的帧301中的源地址M1由帧302中的MAC地址M6替代。同时把IP业务交换台中的源地址M5由边缘路由器250的源地址M7替代。相反,在图3的例子中沿反方向(帧311、312、313)先把帧312中的源地址M7由IP业务交换台的源地址M5替代,然后再向客户路由器111发送所述帧。对应地把帧312中的目标地址M6由客户路由器111的地址M1替代。
由此提高了可标度性,因为接入网络不必获知客户方的MAC地址M1至M4。同时防御譬如“MAC地址溢流(MAC Address Flooding)”之类的对接入网络的侵入。沿相反的方向不向客户转交边缘路由器250的网络方的MAC地址M7和M8而是通过IP业务交换器的一个MAC地址M5替代。由此也提高了网络可靠性,因为由此可以保持对客户隐蔽边缘路由器的地址。
如果在IP业务交换台240中沿网络方向放出一个VLAN标签(在图4的例子中是VALAN标签“2011”)作为IP业务连接的附加附属。借助于该VLAN标签可以在的层2交换台中保留资源,例如在一个连接线路上的带宽。沿向最终客户的方向从IP业务交换台中去掉VLAN标签“2011”。还可以有IP业务连接的其它实现方式,例如借助于MPLS路线(LSP,加标签的交换的路线),并且只是本发明的变例。
图5在另一个有利的变例中示出可以如何地使用IEEE标准802.1x以确定所述交换规定第一部分。首先借助于协议802.1x和RADIUS以及一个AAA(鉴权、授权、记帐)数据库鉴权和授权和使用者。在此例如所述使用者可以通过指出一个完全合格的域名(FQDN)指定所希望的业务和IP网络运营商。借助于所述FQDN通过对IP网络运营商的AAA服务器502的代理服务器501转发RADIUS请求。所述代理服务器检验凭证(例如口令)并且在检验成功的情况下发回一个分组含所请求的业务的信息(业务概况)的RADIUS信令。借助于该信息,IP业务交换台503可以确定例如通过层2地址M7和S-VALN“2011”给出的所属的IP业务连接。最终客户设备的物理端口(c)、C-VLAN(1001)和层2地址由IP业务交换台从802.1帧504、505和506导出。
图6示出可以如何在IP业务中使用一个业务分布图(在图5所示的例子中是消息507中得出的业务分布图S1),以有目的地为相应的IP会话执行所述通信的一个策略。为此所述IP业务交换台保存一个譬如如图6所示的列表,其中确定不同的业务分布图。从而分布图S1确定一个有“最佳努力”通信等级和一个“实时”通信等级的IP业务,其中为有分布图S1的IP会话释放IP业务交换台的所指定的最大带宽。
图7示出对于IPv4的情况下如何使用DHCP消息建立IP会话。在此在IP业务交换台中采用一个DHCP中继代理服务器,通过所述中继代理服务器在业务使用者与网络之间引导全部的DHCP消息。所述中继代理服务器可以从消息交换601至608中取出所需要的交换规定并且以此填写列表610。供选择地可以在交换规定中接收DHCP租用时间并且监视IP业务交换台。在该例子中所述租用时间是1500s长。
图8示出如何在IP业务的和用时间到期之后如何触发IP会话。为此中继代理服务器DHCP向终端设备并且向网络方的DHCP服务器放出消息。附加地在交换规定(710)的列表中删除IP会话的数据。然后不从该会话端口向所述网络转发任何带有原地址Ic1的IP分组。
图9示出在使用者801的IPv4 ARP请求或者IP边缘路由器803的情况下如何由IP业务交换台应答。在这两个情况的每个并且对于IP地址“any”的每个IP业务交换台用其各自的MAC地址应答ARP请求。在ARP中继802的情况下这是M5而在ARP中继的情况下这是M6。该应答确保不论是使用者方的设备810还是网络方的IP路由器811都采用IP业务交换台的MAC地址传输IP分组。
图10示出特殊情况IPv6的IP地址的结构。在此存在所述IP地址分组含由客户自己分配的一个接口标识的问题。该接口标识可以对应于客户的层2地址,然而也可以随机地选取。从而存在多个客户相同的接口Id的情况下必须产生一个惟一的IP地址的问题。根据本发明,该问题的解决是通过,所述IP业务交换台本身可以给出一个局域的IP前缀,所述局域的IP前缀在具体情况下选取得可以分配一个惟一的IP地址。于是必须对一个子网络中的每个IP业务交换台分配多个局域的前缀,从而独立于各自接口标识的局域和全局的前缀的组合总是得出一个唯一的IP地址。客户要么通过DHCP或者借助于无状态地址自配置(路由器发现)获得这种配属。
从根据本发明技术问题的解决方案得到的优点
a)基于会话的IP交换取代IP业务交换台中的IP路径选择。从而接入网络运营商不必同时是IP网络运营商,就是说对于客户不需要自己的IP地址。同时可以在同一接入网络中支持多个IP网络运营商。客户还可以对不同的IP网络运营商同时保持多个IP会话。
此外还防止与现今通行的IP网络相比较IP节点的数量增长一至两个数量级。
b)本发明使得可能有一种用于基于IP/以太网的接入网络,所述接入网络把BAS的功能移置到接入网络中并且修改得可以用基于IP/以太网络的方法进行接入控制。由此在一个方面取消了分开的BAS的必要性,这导致显著的成本下降。另一方面接入控制向客户附近推移,由此可以得到高度的网络安全性并且使之可能有较好的QoS支持。
本发明的附加技术问题的技术方案得出的优点
层2的终止。尤其是在使用以太网作为层2的情况下公知许多对网络功能和网络完整性的攻击。通过在IP业务网络中的层2终止,在很大程度上钝化了对IP业务交换台后面的网络节点的这种攻击。